*Por Marcelo Mantovani

Outubro de 2021 – O planejamento estratégico de ações talvez seja o passo mais importante a ser dado por uma empresa hoje. Tendo em vista as tantas falhas e prejuízos que são cometidas no dia a dia por uma simples falta de conformidade com normas, como a LGPD por exemplo, vemos como ter uma equipe preparada para fazer este diagnóstico da empresa se torna fundamental.

Aqui entra em cena uma sigla: GRC, ou “Governança, Riscos e Conformidade/Compliance”. Idealmente, significa um conjunto de boas práticas que permite analisar a fundo a situação de uma empresa em busca de brechas e lugares onde é possível potencializar oportunidades e vantagens, além de garantir que políticas de controle estejam devidamente aplicadas em todos os processos. Na prática, significa aliar a “tríplice aliança” de um negócio forte: pessoas, processos e tecnologia.

Não faz sentido empresas comprarem uma solução ou software de GRC, se as pessoas que ficarão responsáveis por ele não possuem capacidade de fazer um processo de sustentação da ferramenta. A equipe precisa estar habilitada para fazer a gestão de todos os ciclos dentro do GRC.

É um conceito que se aplica a companhias de qualquer tipo de porte e, exatamente por sua importância, geralmente é comandando por profissionais que ocupam cargos estratégicos na empresa, próximos à diretoria e gestão.

Destrinchando a sigla, uma boa prática de governança indica que decisões sensíveis à empresa são tomadas da forma mais racional possível. Riscos, que talvez soe como a mais clara, diz respeito a se antecipar a brechas, falhas e imprevistos, criando planos de ação para responder esses problemas antes de se tornarem algo grave. Já a conformidade refere-se a ter todos os controles e processos devidamente acompanhados.

Ainda que seja difícil generalizar a realidade de todas as empresas brasileiras na aplicação ou não de GRC, nossa experiencia mostra que as nossas companhias tendem a contratar ferramentas, mas com processos incipientes, que não fazem uma gestão integrada de riscos.

O perfil de uma empresa que investe adequadamente em GRC geralmente é uma com regulamentação de seus setores, como o financeiro, por exemplo. Os reguladores acabam sendo um bom motivador para as empresas. A já citada questão da LGPD deve ajudar nessa necessária mudança cultural das empresas que não se preocupavam com isso.

Não investir em GRC significa perder visibilidade principalmente em relação aos riscos de negócios. Não só indicadores de riscos, como também indicadores de performance. Se você pertence a uma empresa de um setor altamente regulamentado, o fato de não ter GRC faz com que você não esteja em conformidade, e possa ter risco de imagens e operacional. Na dúvida, invista nos três pilares de sustentação de um bom negócio.


*Marcelo Mantovani é Especialista em GRC da ISH Tecnologia